Настоящую личность защитит ЦБ
С подменой биометрических данных будут бороться нормативно
Банк России начал работу над нормативными документами, применение которых поможет защитить граждан от мошеннического использования их биометрических данных. В частности, планируется описать порядок действий банка и его клиентов на случай негативного развития событий. Как признавал сам регулятор, это маловероятные, однако полностью не закрываемые риски.
Как стало известно “Ъ”, ЦБ начал работать над методическими рекомендациями, задача которых — обеспечение регуляторных и организационно-технических мер по недопущению мошенничества в сфере применения удаленной идентификации с использованием биометрии. Эти меры должны минимизировать риск «подмена личности», который возможен при идентификации клиентов банков с помощью ранее сданных в Единую биометрическую систему (ЕБС) образов лица и голоса. Решение о начале работы над документами было принято ЦБ в конце прошлого года по итогам стратегической сессии, на которой были отобраны 14 новых инициатив участников финансового рынка. Как сообщил “Ъ” собеседник, знакомый с позицией ЦБ, формат методических рекомендаций был принят потому, что данный документ можно выпустить достаточно оперативно и его не надо регистрировать в Минюсте.
С предложениями по минимизации рисков утечки конфиденциальной информации в процессе сбора биометрии выступило НП «Национальный платежный совет» (НПС). По словам главы НПС Алмы Обаевой, они были направлены в Банк России еще в конце весны 2018 года. В частности, среди предложений НПС было определение порядка использования биометрии в случае, когда сданные данные были скомпрометированы, в том числе и по вине самого владельца биометрических данных.
«И ЦБ, и "Ростелеком" часто отмечают, что утечка биометрии почти невозможна,— указывает Алма Обаева.— В то же время риски "кражи личности" все же есть, и потому необходим четкий, определенный в нормативном акте порядок, как в этом случае действовать банку, как действовать клиенту». Госпожа Обаева привела в пример закон «О национальной платежной системе», где четко зафиксировано, какие действия предпринимаются в случае несанкционированного списания денежных средств со счета клиента банка, и отметила, что схожий механизм нужен и для случаев получения мошенниками средств в банке на основании чужой биометрии.
Эксперты отмечают, что инициативу НПС поддерживает ФАС. «На закрытых совещаниях с ЦБ замглавы ФАС Андрей Кашеваров отмечал, что риск получение кредитов с помощью чужой биометрии необходимо учитывать и нивелировать»,— рассказывает собеседник “Ъ”, знакомый с ситуацией. Впрочем, в ФАС не комментируют эту информацию. Кроме того, на встречах представителей ЦБ с руководителями служб информационной безопасности банков часто обозначали кейс, когда мошенник приходит с поддельным паспортом и сдает биометрию вместо реального владельца, а затем уже верифицируется. При этом оборудования для выявления высококачественных подделок в банках нет. Первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев ранее отмечал, что это весьма маловероятный, но не закрываемый риск. Не меньшие проблемы несет в себе и верификация клиентов, ранее сдавших биометрию. Например, мошенник может представиться сотрудником ПФР и, пообещав пенсионеру прибавку к пенсии, предложить верифицироваться по скайпу. Представители BiZone в одном из выступлений рассказывали о различных программах, которые без труда позволяют подделать лицо и голос.
Впрочем, специалисты по информбезопасности банков ждут от регулятора не только рекомендаций по юридическим вопросам взаимодействия с клиентом, но и другой конкретики. «Рынок бы хотел получить методические рекомендации, в которых ЦБ пропишет — как выявлять случаи использования поддельной биометрии, как подтверждать, что верифицирующийся человек именно тот, за кого он себя выдает, и т. д.»,— отмечает глава управления информационной безопасности ОТП-банка Сергей Чернокозинский. Что в итоговом виде войдет в методичку, пока не ясно. Как заявили в ЦБ, «вопрос находится в стадии проработки, комментарии преждевременны».